Die dezentrale Börse Level Finance hat eine Sicherheitsverletzung erlebt, die es einem Angreifer ermöglichte, mehr als 1 Million Dollar des nativen Level Finance (LVL)-Tokens der Börse zu stehlen.
Level Finance informierte seine 20.000 Twitter-Follower, dass mehr als 214.000 der LVL-Token der Börse geleert und in 3.345 Binance Coin (BNB) mit einem ungefähren Wert von 1,01 Millionen US-Dollar getauscht wurden.
Ein Exploit zielte auf unseren Referral-Controller-Vertrag ab.
– 214.000 LVL-Token, die an die Adresse des Exploiters abgezogen wurden.
– Der Angreifer hat LVL auf 3.345 BNB geändert
– Exploit wurde von anderen Verträgen isoliert.
– Fix soll in 12 Stunden bereitgestellt werden.
– LPs und DAO-Schatzkammern NICHT BETROFFEN.Weitere Details folgen.
— LEVEL Finance #RealYield (@Level__Finance) 1. Mai 2023
Laut dem Blockchain-Sicherheitsunternehmen Peckshield enthielt der intelligente Vertrag „LevelReferralControllerV2“ von Level Finance einen Fehler, der „wiederholte Verweisansprüche“ aus derselben Epoche ermöglichte. Dies wurde von Level Finance in einer späteren Erklärung auf Discord bestätigt.
Es scheint die @Level__FinanzenDer LevelReferralControllerV2-Vertrag von hat einen Fehler, der wiederholte Verweisansprüche aus derselben Epoche zulässt. Bisher wurden 214.000 LVLs abgezogen und in 3.345 BNB (~1 Mio.) getauscht.
Hier ist ein Beispiel-Hack-TX: https://t.co/isqHhzFk1Z https://t.co/ikOWx2ezf6 pic.twitter.com/wlr5bFFf0R
– PeckShield Inc. (@peckshield) 1. Mai 2023
In der Zwischenzeit, Daten vom Binance-Chain-Explorer BSC Scan zeigt der V2-Controller-Vertrag mehrere Aufrufe der „Claim Multiple“-Funktion in den letzten 48 Stunden.
Zum Zeitpunkt des Schreibens war die Implementierung des Vertrags scheint seit dem Aufkommen des Angriffs nicht geändert worden zu sein, Level Finance sagt jedoch, dass es innerhalb der nächsten 12 Stunden eine neue Implementierung des Empfehlungsvertrags bereitstellen wird.
Die Börse stellte auch fest, dass ihre Liquiditätspools und damit verbundenen DAOs von dem Angriff unberührt bleiben.
Verwandt: Die Krypto-Betrügereien, Exploits und Hacks im April führten zu einem Verlust von 103 Millionen US-Dollar – CertiK
Laut @DeDotFiSecurity auf Twitter hat das Team sagt dass es „das Empfehlungsprogramm vorübergehend heruntergefahren“ hat, wodurch der Exploit gestoppt wurde.
Auf Discord sagte Level Finance, dass der Exploit von anderen Exploits isoliert worden sei und dass Benutzer der Börse „für eine vollständige Obduktion bereitstehen sollten“.
Magazin: So können die ZK-Rollups von Ethereum interoperabel werden